HTTP Strict-Transport-Security Header

Der HTTP-Header Strict-Transport-Security (HSTS) ist ein Response-Header, der Browser anweist, ausschließlich HTTPS-Verbindungen für eine Domain zu verwenden. Er verhindert Protocol-Downgrade-Attacken und Man-in-the-Middle-Angriffe durch erzwungene Verschlüsselung.

Typ

Response-Header

Syntax

Der Header definiert max-age und optionale Direktiven für HTTPS-Enforcement.

http 
Strict-Transport-Security: max-age=31536000
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Direktiven

Die Direktiven definieren HSTS-Policy und Gültigkeitsdauer.

max-age
Pflicht-Direktive, definiert Gültigkeitsdauer in Sekunden. Browser erzwingt HTTPS für diese Dauer, üblich sind 31536000 (1 Jahr) oder 63072000 (2 Jahre).
includeSubDomains
Optional, wendet HSTS-Policy auf alle Subdomains an, verhindert HTTP auf beliebigen Subdomains.
preload
Optional, signalisiert Intent für HSTS Preload Liste in Browsern, erfordert includeSubDomains und max-age >= 31536000.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Strict-Transport-Security-Header.

Beispiel 1 HSTS fuer ein Jahr

http 
GET / HTTP/1.1
Host: example.com

HTTP/1.1 200 OK
Strict-Transport-Security: max-age=31536000
Content-Type: text/html

<!DOCTYPE html>...

Website aktiviert HSTS für 1 Jahr, Browser erzwingt HTTPS für alle Requests an example.com.

Beispiel 2 HSTS mit Subdomains und Preload

http 
GET / HTTP/1.1
Host: secure.example.com

HTTP/1.1 200 OK
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Content-Type: text/html

<!DOCTYPE html>...

Production-Site mit maximaler HSTS-Policy für 2 Jahre inkl. aller Subdomains und Preload-Intent.

Beispiel 3 HSTS Deaktivierung

http 
GET / HTTP/1.1
Host: dev.example.com

HTTP/1.1 200 OK
Strict-Transport-Security: max-age=0
Content-Type: text/html

<!DOCTYPE html>...

Development-Umgebung deaktiviert HSTS mit max-age=0 für HTTP-Zugriff bei lokalen Tests.

HSTS Enforcement Flow

HSTS Strict Transport Security Ablauf

Vorteile für die Systemarchitektur

  • MITM-Schutz: Erzwungene HTTPS-Verbindungen verhindern SSL-Stripping-Attacken auf öffentlichen Netzwerken
  • Performance-Gewinn: Browser überspringt HTTP-Redirect und verbindet direkt via HTTPS
  • Compliance: HSTS erfüllt PCI-DSS und andere Security-Standards für Payment- und Financial-Services

Spezifikation

RFC 6797, HTTP Strict Transport Security (HSTS) https://www.rfc-editor.org/rfc/rfc6797.html

Weitere Spezifikationen

Content-Security-Policy Header, Upgrade-Insecure-Requests Header, X-Frame-Options Header